VIRUS INFORMATICOS

Existen algunos programas que, sin llegar a ser virus, ocasionan problemas al usuario.

Estos no-virus carecen de por lo menos una de las tres características que identifican a un virus (dañino, auto reproductor y subrepticio). [hidepost]  Veamos un ejemplo de estos no – virus: “Hace algunos años, la red de I. B. M., encargada de conectar más de 130 países, fue virtualmente paralizada por haberse saturado con un correo electrónico que contenía un mensaje de felicitación navideña que, una vez leído por el destinatario, se enviaba a sí mismo a cada integrante de las listas de distribución de correo del usuario. Al cabo de un tiempo, fueron tantos los mensajes que esperaban ser leídos por sus destinatarios que el tráfico se volvió demasiado alto, lo que ocasionó la caída de la red”. Asimismo, es necesario aclarar que no todo lo que altere el normal funcionamiento de una computadora es necesariamente un virus. Por ello, existen algunas de las pautas principales para diferenciar entre qué debe preocuparnos y qué no: a) BUGS (Errores en programas) Los bugs no son virus, y los virus no son bugs. Todos usamos programas que tienen graves errores (bugs). Si se trabaja por un tiempo largo con un archivo muy extenso, eventualmente algo puede comenzar a ir mal dentro del programa, y éste a negarse a grabar el archivo en el disco. Se pierde entonces todo lo hecho desde la última grabación. Esto, en muchos casos, se debe a ERRORES del programa. Todos los programas lo suficientemente complejos tienen bugs. b) Falsa alarma Algunas veces tenemos problemas con nuestro hardware o software y, luego de una serie de verificaciones, llegamos a la conclusión de que se trata de un virus, pero nos encontramos con una FALSA ALARMA luego de correr nuestro programa antivirus. Desafortunadamente no hay una regla estricta por la cual guiarse, pero contestarse las siguientes preguntas puede ser de ayuda: ¿Es sólo un archivo el que reporta la falsa alarma (o quizás varios, pero copias del mismo)? ¿Solamente un producto antivirus reporta la alarma? (Otros productos dicen que el sistema está limpio). ¿Se indica una falsa alarma después de correr múltiples productos, pero no después de bootear, sin ejecutar ningún programa? Si al menos una de nuestras respuestas fue afirmativa, es muy factible que efectivamente se trate de una falsa alarma. c) Programas corruptos A veces algunos archivos son accidentalmente dañados, quizás por problemas de hardware. Esto quiere decir que no siempre que encontremos daños en archivos deberemos estar seguros de estar infectados. ¿Qué es un virus? Un virus es simplemente un programa, elaborado accidental o intencionadamente para instalarse en la computadora de un usuario sin el conocimiento o el permiso de éste. Podríamos decir que es una secuencia de instrucciones y rutinas creadas con el único objetivo de alterar el correcto funcionamiento del sistema y, en la inmensa mayoría de los casos, corromper o destruir parte o la totalidad de los datos almacenados en el disco. De todas formas, dentro del término “virus informático” se suelen englobar varios tipos de programas. Todos estos programas tienen en común la creación de efectos perniciosos; sin embargo, no todos pueden ser considerados como virus propiamente dichos. Decimos además que es un programa parásito porque el programa ataca a los archivos o sector es de “booteo” o arranque y se reproduce a sí mismo para continuar su esparcimiento. Algunos se limitan solamente a multiplicarse, mientras que otros pueden producir serios daños que pueden afectar a los sistemas. Nunca se puede asumir que un virus es inofensivo y dejarlo “flotando” en el sistema. Existen ciertas analogías entre los virus biológicos y los informáticos: mientras los primeros son agentes externos que invaden células para alterar su información genética y reproducirse, los segundos son programas-rutinas, en un sentido más estricto, capaces de infectar archivos de computadoras, reproduciéndose una y otra vez cuando se accede a dichos archivos, dañando la información existente en la memoria o alguno de los dispositivos de almacenamiento del ordenador. Tienen diferentes finalidades: Algunos sólo ‘infectan’, otros alteran datos, otros los eliminan, algunos sólo muestran mensajes. Pero el fin último de todos ellos es el mismo: PROPAGARSE. Es importante destacar que el potencial de daño de un virus informático no depende de su complejidad sino del entorno donde actúa. La definición más simple y completa que hay de los virus corresponde al modelo D. A. S., y se fundamenta en tres características, que se refuerzan y dependen mutuamente. Según ella, un virus es un programa que cumple las siguientes pautas: – Es dañino – Es auto reproductor – Es subrepticio u oculto El hecho de que la definición imponga que los virus son programas no admite ningún tipo de observación; está extremadamente claro que son programas, realizados por personas. Además de ser programas tienen el fin ineludible de causar daño en cualquiera de sus formas. Asimismo, se pueden distinguir tres módulos principales de un virus informático: Módulo de reproducción Módulo de ataque Módulo de defensa ¿Qué tipos de virus hay? Los virus se clasifican por el modo en que actúan infectando la computadora: Programa: Infectan archivos ejecutables tales como .com / .exe / .ovl / .drv / .sys / .bin Boot: Infectan los sectores Boot Record, Master Boot, FAT y la Tabla de Partición. Múltiples: Infectan programas y sectores de “booteo”. Bios: Atacan al Bios para desde allí rescribir los discos duros. Hoax: Se distribuyen por e-mail y la única forma de eliminarlos es el uso del sentido común. Al respecto, se trata de virus que no existe y que se utiliza para aterrar a los novatos especialmente en la Internet a pesar que los rumores lo muestran como algo muy serio y a veces la información es tomada por la prensa especializada. Por lo general, como ya se expresó, la difusión se hace por cadenas de e-mail con terribles e inopinadas advertencias. En realidad el único virus es el mensaje. A continuación se da un pequeño repaso a cada uno de ellos poniendo de manifiesto sus diferencias. La clasificación es la siguiente: Virus ‘Puro’ Caballo de Troya Bomba Lógica Gusano o Worm Y otros Todos estos programas tienen en común la creación de efectos perniciosos; sin embargo, no todos pueden ser considerados como virus propiamente dichos. a) Virus Puro Un verdadero virus tiene como características más importantes la capacidad de copiarse a sí mismo en soportes diferentes al que se encontraba originalmente, y por supuesto hacerlo con el mayor sigilo posible y de forma transparente al usuario; a este proceso de auto réplica se le conoce como “infección”, de ahí que en todo este tema se utilice la terminología propia de la medicina: “vacuna”, “tiempo de incubación”, etc. Como soporte entendemos el lugar donde el virus se oculta, ya sea fichero, sector de arranque, partición, etc. Un virus puro también debe modificar el código original del programa o soporte objeto de la infección, para poder activarse durante la ejecución de dicho código; al mismo tiempo, una vez activado, el virus suele quedar residente en memoria para poder infectar así, insistimos, de forma transparente al usuario. b) Caballo de Troya Al contrario que el virus puro, un Caballo de Troya es un programa maligno que se oculta en otro programa legítimo, y que produce sus efectos perniciosos al ejecutarse este ultimo. En este caso, no es capaz de infectar otros archivos o soportes, y sólo se ejecuta una vez, aunque es suficiente, en la mayoría de las ocasiones, para causar su efecto destructivo. c) Bomba Lógica Se trata simplemente de un programa maligno que permanece oculto en memoria y que solo se activa cuando se produce una acción concreta, predeterminada por su creador: cuando se llega a una fecha en concreto (Viernes 13 ), cuando se ejecuta cierto programa o cierta combinación de teclas, etc. d) Gusano o Worm Por último, un gusano es un programa cuya única finalidad es la de ir consumiendo la memoria del sistema, mediante la realización de copias sucesivas de sí mismo, hasta desbordar la RAM, siendo ésta su única acción maligna. La barrera entre virus puros y el resto de programas malignos es muy difusa, prácticamente invisible, puesto que ya casi todos los virus incorporan características propias de uno o de varios de estos programas: por ejemplo, los virus como el Viernes 13 son capaces de infectar otros archivos, siendo así virus puro, pero también realizan su efecto destructivo cuando se da una condición concreta, la fecha Viernes 13, característica propia de una bomba lógica; por último, se oculta en programas ejecutables teniendo así una cualidad de Caballo de Troya. De ahí la gran confusión existente a este respecto. e) Virus De Macro Esta entre las novedades surgidas últimamente en el mundo de los virus, aunque no son totalmente nuevos, parece que han esperado hasta 1995 para convertirse en una peligrosa realidad. Por desgracia, ya existe un número importante de virus de este tipo catalogados, que han sido escritos en WordBasic, el potente lenguaje incluido en Microsoft Word. Los macro virus tiene 3 características básicas: 1) Infectan documentos de MS-Word o Ami Pro, hojas de cálculo de MS-Excel y archivos de bases de datos en MS-Access. 2) Poseen la capacidad de infectar y auto-copiarse en un mismo sistema, a otros sistemas o en unidades de red a las cuales estén conectadas. 3) Haciendo uso de las funciones de la interfaz de las librerías MAPI (Messaging Application Programming Interface), desde el sistema infectado se envía a todos los buzones de la libreta de direcciones de MS Outlook y Outlook Express. A pesar de que los macro virus son escritos en los lenguajes macro de MS-Word o MS-Excel y por consiguiente deberían infectar únicamente a documentos y hojas de cálculo, es posible desarrollar macro virus que ejecuten llamadas al sistema operativo, dando órdenes de borrar archivos o hasta de reformatear al disco duro. Tal es el caso del macro virus MDMA que borra archivos específicos de Windows 95/98, haciendo uso de la macro AutoClose, o el FORMAT.C que dentro de la macro AutoOpen ordena formatear al disco duro. Uno de los síntomas que acusan la presencia de un macro virus, en el caso de MS-Word, es la aparición de extrañas macros: AAAZAO, AAAZFS, AutoOpen, PayLoad, SaveFileAs, etc. instaladas en la plantilla global del archivo Normal.dot. Al abrir o usar un documento infectado, estas macros se enlazarán automáticamente a todos los documentos que se abran a partir de ese momento. Otra característica de los macro virus es que sus acciones están destinadas exclusivamente a un tipo de documento, hoja de cálculo o archivo de base de datos, creados en MS-Word, Ami Pro, MS-Excel y MS-Access. Un documento creado en otro procesador de texto, como Word Perfect o Ami Pro, no será contagiado al leer o cargar un documento infectado de MS-Word, debido a que éstos no pueden ejecutar las macros que son propias de MS-Word. Lo mismo sucederá al cargar o leer un documento infectado de MS-Excel en MS-Word. Este último no puede ejecutar las macros del primero y por lo tanto el documento no será contagiado. (Texto original de PerAntivirus) f) Virus Mutantes Son los que al infectar realizan modificaciones a su código, para evitar ser detectados o eliminados (NATAS o SATÁN, Miguel Ángel, por mencionar algunos). g) Bombas de Tiempo Son los programas ocultos en la memoria del sistema o en los discos, o en los archivos de programas ejecutables con tipo COM o EXE. En espera de una fecha o una hora determinadas para “explotar”. Algunos de estos virus no son destructivos y solo exhiben mensajes en las pantallas al llegar el momento de la “explosión”. Llegado el momento, se activan cuando se ejecuta el programa que las contiene. h) Auto reproducción Son los virus que realizan las funciones mas parecidas a los virus biológicos, ya que se auto reproducen e infectan los programas ejecutables que se encuentran en el disco. Se activan en una fecha u hora programadas o cada determinado tiempo, contado a partir de su última ejecución, o simplemente al “sentir” que se les trata de detectar. Un ejemplo de estos es el virus del Viernes 13, que se ejecuta en esa fecha y se borra (junto on los programas infectados), evitando así ser detectado. i) Infecciones del área de carga inicial Infectan los disquetes o el disco duro, alojándose inmediatamente en el área de carga (MBR). Toman el control cuando se enciende la computadora y lo conservan todo el tiempo. j) Infecciones del sistema Se introducen en los programas del sistema, por ejemplo COMMAND.COM y otros que se alojan como residentes en memoria. Los comandos del Sistema Operativo, como COPY, DIR o DEL, son programas que se introducen en la memoria al cargar el Sistema Operativo y es así como el virus adquiere el control para infectar todo disco que sea introducido a la unidad con la finalidad de copiarlo o simplemente para ver sus carpetas (también llamadas: folders, subdirectorios, directorios). k) Infecciones de programas ejecutables Estos son los virus mas peligrosos, porque se diseminan fácilmente hacia cualquier programa (como hojas de cálculo, juegos, procesadores de palabras). La infección se realiza al ejecutar el programa que contiene al virus, que en ese momento se posiciona en la memoria de la computadora y a partir de entonces infectará todos los programas cuyo tipo sea EXE o COM, en el instante de ejecutarlos, para invadirlos autocopiándose en ellos. Aunque la mayoría de estos virus ejecutables “marca” con un byte especial los programas infectados –para no volver a realizar el proceso en el mismo disco–, algunos de ellos (como el de Jerusalén) se duplican tantas veces en el mismo programa y en el mismo disco, que llegan a saturar su capacidad de almacenamiento.

Tag: Virus Informáticos

Ver admin's Perfil      Suscribir vía RSS